Sample order

显示全部楼层 · 发表于 2015-8-19 11:10:58

z2009 发表于 2015-8-19 10:57
红伞右键过
运行，被红伞杀

云上传？还是监控砍了？

显示全部楼层 · 发表于 2015-8-19 11:14:41

文件名: sample order.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2015-8-19 ( 11:08:31 )

上次使用时间
2015-8-19 ( 11:08:31 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

sample order.exe 威胁名称: SONAR.Heuristic.120
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
explorer.exe

创建的文件:
sample order.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ sample order.exe 威胁已删除
事件: 正在运行进程: f:\norton样本\临时收集\ sample order.exe 已终止
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 f:\norton样本\临时收集\sample order.exe, PID:3372) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ sample order.exe, PID:2924 (执行者 f:\norton样本\临时收集\sample order.exe, PID:3372) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ sample order.exe, PID:3372 (执行者 f:\norton样本\临时收集\sample order.exe, PID:3372) 未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 f:\norton样本\临时收集\sample order.exe, PID:3372) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2015-8-19 11:26:46

尘梦幽然发表于 2015-8-19 10:15
趋势科技国际10.0
安全威脅: HEU_AEGISCS922
來源類型: 安全威脅

简中仍旧不杀

显示全部楼层 · 发表于 2015-8-19 11:46:45

轩、发表于 2015-8-19 11:26
简中仍旧不杀

你双击就杀了

显示全部楼层 · 发表于 2015-8-19 12:22:06

有问题吧 eset解压秒杀，eset除了天朝特色破解一般很少误杀，况且这个文件还是老外发的

显示全部楼层 · 发表于 2015-8-19 13:45:27

枫狐狸发表于 2015-8-19 09:47
好的，谢谢！

File details: Sample order.exe
Determination: Trojan.Zbot
Reputation:
Unprov en
There is not enough information about this
file to recommend it.
Prev alence unknown
Information is unavailable
Age unknown
Information is unavailable
Rapid Release sequence number: 167138
File Information
MD5: f46242dc064b029fbd01568222a9fe76
Size: 252.00 KB
Type: 6144:jfEp5okpiXl/VpT9ubExGopWFB2WiwAkA1cKfbeW9Qro5:Yp5okSrpT4bropWjdZAIVW9Eo5
Aliases: Information is unavailable
Technical Description
When executed, the threat performs the following functions.
Creates the following file(s):
%UserProfile%\Application Data\Identities\{91FD83EF-B9F6-410E-97DC-5C667AC85868}\Microsoft\Outlook E
xpress\Sent Items.dbx
( 5c9871500ef4f120d08456c18e04bb8c )
%UserProfile%\Application Data\Egluoz\ubvu.exe
( 6d5e0de0c8d8c046f8b018e0bcbfb9bd )
%UserProfile%\Application Data\Yhlew\kaoza.tmp
( 65e82e70a3fb5b976dfda2c8e6d8f160 )
Modifies the following file(s):
%UserProfile%\Application Data\Identities\{91FD83EF-B9F6-410E-97DC-5C667AC85868}\Microsoft\Outlook E
xpress\Folders.dbx
%UserProfile%\Application Data\Identities\{91FD83EF-B9F6-410E-97DC-5C667AC85868}\Microsoft\Outlook E
xpress\Inbox.dbx
%UserProfile%\Application Data\Identities\{91FD83EF-B9F6-410E-97DC-5C667AC85868}\Microsoft\Outlook E
xpress\Offline.dbx
Creates the following registry entries so that it runs every time Windows starts:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ubvu.exe" =
"\%UserProfile%\Application Data\Egluoz\ubvu.exe\"""
Creates the following registry entries to alter Internet Explorer settings:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"EnableSPDY3_0" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"WarnonBadCertRecving" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1A05" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1A10" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1A02" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1A03" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1A05" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1A06" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1A10" = "0"
Creates the following registry entries:
HKEY_CURRENT_USER\"(Default)" = "[BINARY DATA]"
HKEY_CURRENT_USER\Identities\{91FD83EF-B9F6-410E-97DC-5C667AC85868}\Software\Microsoft\Outlook Expre
ss\5.0\"Compact Check Count" = "2"
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\"ConnectionSettingsMigrated" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Tisyl\"Ibro" = "[BINARY DATA]"
HKEY_CURRENT_USER\Software\Microsoft\Tisyl\"Osuqs" = "[BINARY DATA]"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\"FirstRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\UnreadMail\%USERNAME%@%NETWORKDOMAIN%\"TimeStamp"
=
"[BINARY DATA]"
Accesses the following URL(s):
[http://]104.237.194.158/appy/panel/config.jpg

显示全部楼层 · 发表于 2015-8-19 14:04:03

本帖最后由 z2009 于 2015-8-19 14:42 编辑

a1121611810 发表于 2015-8-19 11:10
云上传？还是监控砍了？

云

显示全部楼层 · 发表于 2015-8-19 14:12:08

瑞星Kill

显示全部楼层 · 发表于 2015-8-19 14:15:03

熊猫不杀？？？

显示全部楼层 · 发表于 2015-8-19 14:30:25

360杀毒实时防护日志

时间                   防护说明                                                                处理结果                                                       文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2015-08-19 14:28:21    恶意软件(QVM03.0.Malware.Gen)MD5:f46242dc064b029fbd01568222a9fe76       已删除此文件，如果您发现误删，可从隔离区恢复此文件。       c:\users\natsukihanae\desktop\sample order\sample order.exe
2015-08-07 09:02:05    修改默认浏览器主页                                                          自动阻止                                                 C:\Users\NatsukiHanae\AppData\Roaming\360se6\Application\8.0.1.232\360bdoctor.exe
2015-08-07 09:02:05    修改浏览器默认搜索引擎                                                       已允许                                                    C:\Users\NatsukiHanae\AppData\Roaming\360se6\Application\8.0.1.232\360bdoctor.exe
2015-07-30 21:25:27    修改默认浏览器主页                                                          自动阻止                                                 C:\Users\NatsukiHanae\AppData\Roaming\360se6\Application\7.1.1.800\360bdoctor.exe
2015-07-30 21:25:26    修改浏览器默认搜索引擎                                                       已允许                                                    C:\Users\NatsukiHanae\AppData\Roaming\360se6\Application\7.1.1.800\360bdoctor.exe
2015-07-30 17:09:03    修改系统文件                                                             已允许                                                    C:\Windows\SysWOW64\IME\imekr8\applets\imkrcac.dll
2015-07-30 16:57:20    进程注入                                                                已允许                                                    C:\Windows\explorer.exe
2015-07-30 16:57:12    进程注入                                                                已允许                                                    C:\Windows\explorer.exe

[可疑文件] Sample order

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块